Чтение файла, сохраненного с помощью средства просмотра событий другого компьютера

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:165959
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Аннотация
В окне просмотра событий позволяет пользователям сохранять журналы событий в двоичный файлс расширением EVT. Такой файл можно открыть с помощью средства просмотра событий налюбой другой компьютер под управлением той же версии Windows NT.

Несмотря на то, что в окне просмотра событий позволяет загрузить этот файл, он долженDLL сообщений для каждого компонента, описываемые в источнике события.

Например, предположим, компьютер a работает под управлением Windows NT 4.0 и службыназываемых «aservice». На этом компьютере, сохраните журналы системных событий подфайл System_A.evt. Теперь предположим, что этот компьютер b также работает под управлением Windows NT4.0. Служба «aservice» не была установлена на компьютере б.

На компьютере откройте файл System_A.evt с помощью средства просмотра событий. Если выДважды щелкните сообщение с источником значение "aservice", вы получаетеследующее сообщение об ошибке:
Описание события с кодом (xxx) в источнике (aservice) не удается. найдено. Он содержит следующие набором вставки:...
Выполните действия, описанные в следующем разделе чтение журналов событий компьютера aХотя на компьютере b без установки компонентов компьютера aна компьютер B.
Дополнительная информация
EVT файлы включают сообщения журнала событий, хранящихся всистемы. Каждое сообщение состоит из Идентификатора (то есть само сообщение) иЧисло вставляемых строк. Идентификаторы, преобразуются в строки с помощьюИспользование библиотек DLL сообщений.

Все события приложения ведется журнал сообщений, DLL, определяются вследующие разделы реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ приложение


В следующем разделе определяются все системные журналы событий сообщения библиотек DLLразделы реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ системы


Например, сообщения службы TCP/IP, DLL определяется в разделеСледующий параметр реестра:
Ключ = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\TcpIp Значение = netevent.d %SystemRoot%\System32\ REG_EXPAND_SZ файл сообщений о событиях


Таким образом все сообщения журнала событий TCP/IP определяются в библиотеке DLLnetevent.dll.

Когда пользователь дважды щелкает событие, для которого сообщений DLL неопределенные в реестре строку сообщения невозможно ипоявляется следующее сообщение:
Описание события с кодом (51) в источнике (aservice) не удается. найдено. Он содержит следующие набором вставки:...
Ниже приводится описание способов читать журналы событий системы компьютерас помощью службы WINS на компьютере без службы WINS. В этом примере могут быть приспособлены для любогокомпонент системы или приложения.

Предупреждение: Неправильное использование редактора реестра может привести к серьезным проблемам, системныенеполадки и потребовать переустановки Windows NT для их исправления.Корпорация Майкрософт не может гарантировать, что любые проблемы, вызванные использованиемРедактор реестра может быть решена. Это средство можно используйте на свой страх и риск.

Требуются следующие операции:
  1. На компьютере с помощью службы WINS запустите редактор РЕЕСТРА и выделите следующий параметр реестра ключ:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System\Wi
  2. В меню Реестр выберите команду Экспорт файла реестра и выберите файл имя (например, Winsreg.reg).
  3. На компьютере без WINS (например, используемому для чтения журналы системных событий компьютера, с помощью WINS), запустите редактор РЕЕСТРА. На Меню Реестр выберите Импорт файла реестра и выберите файл Winsreg.reg, сохраненные ранее на другом компьютере.
  4. Теперь должна появиться следующий параметр реестра на конечном компьютере (то есть, один без WINS):
    Ключ = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ EventLog\System\Wins Значение = winsevnt.d %SystemRoot%\System32\ REG_EXPAND_SZ файл сообщений о событиях


    Теперь вам необходимо скопировать файл, определенные в реестре файл сообщений о событиях значение в каталоге System32. Если сопоставить X: \\wins_server\admins$, выполните следующую команду:
    Скопируйте x:\System32\winsevnt.dll %SystemRoot%\System32\winsevnt.dll
    Конечно могут быть скопированы где-нибудь в противном случае файл, но в данном случае вы можно изменить значение реестра файл сообщений о событиях вручную так что он Указывает каталог с библиотекой DLL.
  5. Закройте все окна просмотра событий и запустите программу просмотра событий. Теперь можно сделать дамп всех событий WINS.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 165959 — последний просмотр: 12/04/2015 16:40:33 — редакция: 4.0

Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Workstation 4.0 Developer Edition

  • kbnosurvey kbarchive kbhowto kbnetwork kbmt KB165959 KbMtru
Отзывы и предложения